Может ли антивирус не обнаружить вирус
Обновлено: 21.11.2024
Информация по устранению неполадок в этом разделе может помочь вам, если у вас возникли какие-либо из следующих проблем при обнаружении и удалении вредоносных программ с помощью антивирусной программы Microsoft Defender, Microsoft Security Essentials или других решений Microsoft для защиты от вредоносных программ:
Выберите тему, чтобы развернуть ее
Если сканирование занимает слишком много времени или кажется, что оно выполняется очень медленно, рассмотрите следующие решения:
Убедитесь, что у вас достаточно свободного места на диске
Антивирусу Microsoft Defender требуется место на диске для удаления вредоносных файлов и помещения их в карантин. Это может помешать полному удалению угрозы, если на вашем ПК недостаточно свободного места, особенно на системном диске (обычно диск C). Чтобы освободить место, см. следующее:
После того, как вы освободите место, обновите и снова запустите сканирование.
Полное сканирование может занять много времени, если у вас большой диск с большим количеством файлов. Большие файлы, особенно архивы, такие как ZIP-файлы, сканируются дольше.
Выполняйте сканирование, пока компьютер не используется, закрыв все остальные программы
Сканирование требует системных ресурсов, таких как процессор и память. Если у вас запущены другие программы, они могут создать небольшую пробку, которая может замедлить сканирование вредоносных программ, даже если вы не используете их активно. Попробуйте закрыть все ненужные приложения на время сканирования.
Совет. Для достижения наилучших результатов попробуйте перезагрузить компьютер и немедленно запустить сканирование, прежде чем открывать какие-либо другие приложения.
Если антивирусная программа Microsoft Defender постоянно обнаруживает ошибки при сканировании или удалении вредоносных программ, попробуйте следующие решения:
Пожалуйста, сообщите нам об этом, чтобы мы могли как можно быстрее доставлять исправления. По умолчанию Windows автоматически собирает информацию об ошибках, но описание ошибки в приложении Центр отзывов может помочь нам более эффективно ее устранить.
Совет. Вы можете быстро запустить приложение Windows Feedback Hub в Windows 10 или 11, нажав клавишу с логотипом Windows + F.
Запустите Центр обновления Windows, чтобы применить все исправления и убедиться, что у вас установлены последние компоненты.
Если антивирусная программа Microsoft Defender постоянно сталкивается с ошибками во время обновлений, попробуйте установить последние обновления защиты вручную.
Для обнаружения новейших угроз используйте надежное средство защиты от вредоносных программ, например антивирусную программу Microsoft Defender, встроенную в Windows. Перед сканированием убедитесь, что критически важные функции безопасности включены и антивирусная программа Microsoft Defender полностью обновлена.
Используйте антивирусную программу Microsoft Defender с облачной защитой
По умолчанию включены следующие расширенные функции. Если вы отключили их, вам следует снова включить их для лучшей защиты:
Автоматическая отправка образцов
Чтобы включить эти функции:
Выберите «Пуск» > «Настройки» > «Обновление и безопасность» > «Безопасность Windows» > «Защита от вирусов и угроз».
В разделе "Параметры защиты от вирусов и угроз" выберите "Управление параметрами".
Убедитесь, что параметры облачной защиты и автоматической отправки образцов включены.
Эти параметры значительно повышают вероятность обнаружения ранее неизвестных вредоносных программ и позволяют автоматически создавать новые обновления защиты, которые помогают оградить все другие компьютеры, на которых запущена антивирусная программа Microsoft Defender, от недавно обнаруженных угроз.
Обновите антивирусную программу Microsoft Defender перед сканированием
По умолчанию антивирусная программа Microsoft Defender автоматически обновляет определения не реже одного раза в день. Вы также можете вручную проверить наличие обновлений:
Выберите «Пуск» > «Настройки» > «Обновление и безопасность» > «Безопасность Windows» > «Защита от вирусов и угроз».
В разделе "Обновления защиты от вирусов и угроз" выберите "Проверить наличие обновлений".
В разделе "Определения угроз" выберите "Проверить наличие обновлений".
Если вы продолжаете сталкиваться с подозрительными файлами, которые не обнаружены антивирусной программой Microsoft Defender, отправьте файлы в корпорацию Майкрософт для анализа.
Даже после удаления вредоносного ПО оно может вернуться, если вы посетите веб-сайт, на котором оно размещено, или снова получите его по электронной почте. Избегайте веб-сайтов, которые могут содержать вредоносное ПО, например сайтов, предоставляющих нелегальные загрузки.
Чтобы блокировать угрозы со стороны вредоносных веб-сайтов, используйте современный браузер, например Microsoft Edge, который использует фильтр SmartScreen Защитника Microsoft для выявления сайтов с плохой репутацией. Обновите Windows до последней версии, чтобы воспользоваться множеством встроенных улучшений безопасности.
В некоторых случаях повторное обнаружение одного и того же вредоносного ПО происходит из-за того, что необнаруженный вредоносный компонент постоянно и незаметно переустанавливает обнаруженное вредоносное ПО. Вредоносная программа обычно переустанавливается и обнаруживается повторно сразу после перезагрузки компьютера. Чтобы решить эту проблему, попробуйте выполнить сканирование с помощью Microsoft Defender Offline, чтобы обнаружить скрытые угрозы
Сканировать с помощью Защитника Windows в автономном режиме
Если одно и то же вредоносное ПО продолжает заражать ваш компьютер, используйте Автономный Защитник Windows для поиска и удаления повторяющихся вредоносных программ.Microsoft Defender Offline — это средство сканирования, работающее вне Windows, позволяющее обнаруживать и устранять инфекции, скрывающиеся во время работы Windows.
Примечание. Прежде чем запускать автономное сканирование Microsoft Defender, убедитесь, что вы сохранили свою работу. Ваш компьютер перезагрузится перед началом сканирования.
Чтобы запустить автономное сканирование в Windows:
Выберите «Пуск» > «Настройки» > «Обновление и безопасность» > «Безопасность Windows» > «Защита от вирусов и угроз».
В разделе Текущие угрозы выберите Параметры сканирования.
Выберите Автономное сканирование Защитника Windows, а затем выберите Сканировать сейчас.
В Windows 8.1 вам потребуется скачать Microsoft Defender Offline как отдельный инструмент. Дополнительные сведения см. в статье Помогите защитить мой компьютер с помощью Microsoft Defender Offline.
Если вредоносное ПО вызвало необратимые изменения на вашем компьютере, вы можете попробовать перезагрузить компьютер. Это может потребовать восстановления данных из резервной копии.
Сбросить, восстановить или переустановить компьютер
Создайте резервные копии любых файлов и настроек, которые вы хотите сохранить, чтобы их можно было восстановить позже. Windows предоставляет несколько вариантов сброса или обновления ПК. Если вы решите выполнить переустановку вручную, вам потребуется подготовить установочные диски, ключи продуктов и установочные файлы.
Примечание. По возможности восстанавливайте файлы из резервных копий, созданных до заражения и хранящихся во внешнем расположении, например в OneDrive, который предоставляет регулярные облачные резервные копии с историей версий. Резервные копии, хранящиеся на вашем компьютере во время заражения, могли быть уже изменены вредоносным ПО.
Дополнительную информацию о переустановке или восстановлении Windows см. в следующих статьях:
Обновление программного обеспечения
После восстановления компьютера убедитесь, что на нем установлена последняя версия программного обеспечения. Последние версии программного обеспечения включают доступные исправления известных проблем безопасности. Это поможет гарантировать, что ваш компьютер не будет заражен вредоносными программами, использующими уязвимости в системе безопасности.
Дополнительные сведения об обновлении программного обеспечения Microsoft и сторонних приложений см. в следующих статьях:
Отправить отзыв в Microsoft
Microsoft постоянно работает над улучшением взаимодействия с пользователем во всех текущих продуктах, включая антивирусную программу "Защитник Windows". Мы рекомендуем всем клиентам использовать следующие каналы обратной связи, встроенные в Windows:
Настройте Windows на автоматический запрос вашего отзыва. Windows уже настроена на автоматический запрос обратной связи по умолчанию. Чтобы убедиться, что эта функция включена, выберите «Пуск» > «Настройки» > «Конфиденциальность» > «Диагностика и обратная связь». В разделе Частота отзывов убедитесь, что Windows настроена на автоматический запрос вашего отзыва.
Вручную отправьте отзыв в любое время через приложение Feedback Hub. Чтобы отправить отзыв, введите Центр отзывов в поле поиска на панели задач, затем выберите его в списке результатов, чтобы открыть приложение. В приложении выберите Отзыв > Добавить новый отзыв. В качестве категории выберите Безопасность, конфиденциальность и учетные записи > Антивирусная программа "Защитник Windows".
Прочитайте Диагностика, отзывы и конфиденциальность в Windows 10, чтобы получить ответы на вопросы о настройках конфиденциальности и отзывов.
Вредоносное ПО прячется во всех уголках Интернета и может заразить ваш компьютер одним неосторожным щелчком мыши. Современные антивирусные программы обычно помогают держать этих неприятных захватчиков в страхе, но иногда они не могут поймать все. Новые, более коварные вредоносные программы могут проникать в файлы вашего компьютера и уклоняться от сканирования даже самыми лучшими антивирусными программами. Если вы уверены, что какая-то вредоносная программа заразила вашу систему, но не можете найти ее при обычном сканировании, вам нужно попробовать несколько разных способов, чтобы обнаружить вторгшуюся программу.
Изучите эту статью
1 Загрузиться в безопасном режиме
Некоторые вредоносные программы прячутся так эффективно, что их невозможно найти с помощью обычного антивирусного сканирования. Загрузка вашей системы в безопасном режиме — без подключения к сети — может предоставить антивирусной программе или программе защиты от вредоносных программ доступ к файлам, которые она не может сканировать в противном случае. Безопасный режим загружает только самые основные драйверы и файлы операционной системы, а это означает, что вредоносная программа может не запуститься и избежать обнаружения. Загрузитесь в безопасном режиме под Windows 8 с параметром «Изменить параметры ПК» в разделе «Параметры». После перезагрузки компьютера вы можете выбрать антивирусную программу и выполнить еще одно глубокое сканирование, чтобы найти проблемную программу.
2 Используйте разные программы
Не все антивирусные программы могут обнаружить все вредоносные программы, находящиеся в обращении, и иногда одна программа упускает то, что обнаруживает другая. Вредоносное ПО также может заразить и поставить под угрозу установленное антивирусное программное обеспечение, что сделает его бесполезным в качестве защиты. Сканируйте свою систему с помощью установленной в настоящее время антивирусной программы по крайней мере два или три раза, чтобы убедиться, что она просканировала и нашла все, что могла. Как только это будет сделано, отключите текущее программное обеспечение, установите новую антивирусную программу и выполните несколько проверок.Используйте комбинацию антивирусных и антивредоносных программ, таких как Malwarebytes и Spybot Search & Destroy (ссылки в разделе "Ресурсы"), чтобы обеспечить тщательную проверку каждого файла на жестком диске.
3 Обратитесь за помощью
Если вредоносное ПО спряталось так эффективно, что никакое сканирование не может его обнаружить, вам придется обратиться за помощью извне. Проверьте Диспетчер задач вашего компьютера, чтобы увидеть, какие процессы и программы запущены в данный момент, и обратите внимание на любые подозрительные записи, которые могут быть вашим захватчиком. Найдите точные термины в своей любимой поисковой системе, чтобы определить невиновность или виновность программы и найти решение для ее удаления. Для удаления некоторых вредоносных программ требуется определенная программа или последовательность действий. Советы и подсказки можно найти на форумах технической поддержки в Интернете.
4 Протрите его начисто
Некоторые вредоносные программы настолько глубоко проникают в файлы вашего компьютера или копируют себя до точки полного заражения, что их удаление может оказаться невозможным. Если вы исчерпали все возможности помощи и по-прежнему не можете найти или удалить нежелательного злоумышленника, возможно, вам придется очистить систему и переустановить Windows. В случае серьезного заражения это единственный способ убедиться, что вы устранили угрозу.
a9ch4f
Оценочно
Мне интересно, сможет ли мой антивирус пропустить опасный вирус или вредоносное ПО, которые потенциально могут поставить под угрозу безопасность моего компьютера и пароли? И если да, то есть ли способ предотвратить это, а также насколько вероятно, что это произойдет? Заранее спасибо.
Хаво_к
Почетный
Да. Некоторые вирусные файлы зашифрованы, что делает их незаметными для антивируса. Новые вирусы, трояны и вредоносные программы появляются ежедневно, и не все из них перехватываются и добавляются в «базу данных» вашей антивирусной программы. Важно всегда обновлять свою антивирусную программу, чтобы они могли начать обнаруживать новые, но не все обнаруживались в момент их появления.
Лучшая защита вашего компьютера — следовать этим нескольким советам».
— Имейте хорошую антивирусную программу, такую как Bit Defender и kasperskpy. Как бы плоха ни была репутация Norton в прошлом, теперь их база данных часто и чаще всего
- Антивирусная программа Malwarebyte, установленная вместе с вашим антивирусом для защиты в режиме реального времени.
- Addblock plus addon в вашем браузере. что и откуда вы скачиваете.
rulejunior
Почетный
Возможно. Вредоносное ПО в этом мире меняется так быстро, что иногда антивирусные компании, такие как Symantec или kaspersky labs, не успевают выпускать обновления. Если программное обеспечение обновляется, его шансы пропустить что-то конкретное сводятся к нулю в зависимости от того, что вы используете (некоторые из них лучше, чем другие, krebs по безопасности с помощью pcmag постоянно тестирует антивирусное программное обеспечение и ранжирует его), и я верю, насколько глубоко укоренились это так, хотя я немного не уверен в этом. Вероятность того, что вы получите совершенно новую вредоносную программу, от которой не защищает антивирусное программное обеспечение, довольно мала, но это может измениться в зависимости от ваших привычек просмотра, настроек брандмауэра и того, используется ли ваш компьютер для чего-либо. высокий профиль, так как это может сделать его целью для таких вещей, как кейлоггеры или, возможно, трояны, программное обеспечение для ботов, шпионское ПО и т. д. Я бы не стал так сильно беспокоиться, потому что если вы используете что-то другое, кроме MSE или Защитника Windows, тогда все в порядке. Лично я запускаю Norton 360, который дает мне мое реальное время, и если я думаю, что он что-то пропустил, у меня есть бесплатное антивирусное ПО для вредоносных программ, которое будет сканировать за Norton и смотреть, не пропустил ли он что-нибудь. Попробуйте вредоносные байты. Я настоятельно рекомендую это.
У меня есть вирус на клиентском ПК, который не может быть обнаружен ни одним антивирусным программным обеспечением, вредоносным или рекламным ПО.
Я использую AVG, Kaspersky, Avast, MalwareBytes, Spybot и AdAware. Вирусы не обнаруживаются. Я провел некоторые исследования, и большинство из них предполагают, что это вирус, прикрепленный или скрывающий себя как winlogon.exe.
Вирус потребляет ресурсы и приводит к зависанию компьютера. Большинство проблем возникает при запуске любых программ Windows, но иногда это происходит, когда эти программы не открыты.
Есть предложения? Спасибо.
Участвуйте, чтобы выиграть набор Webroot/Carbonite Swag Kit!
Конкурс заканчивается 06.04.2022 Конкурсы Поделитесь своим уроком по резервному копированию данных в ответе ниже, и вы можете выиграть один из 10 наборов сувениров! Детали конкурса Просмотреть все конкурсы
24 ответа
Переустановите образ ПК. Я знаю, что это отстой, но это будет лучший способ сделать это.
А вы пробовали загрузиться с компакт-диска с антивирусом и просканировать его?
Это быстро удалит вирус с вашего компьютера.
Вы можете попробовать использовать обозреватель процессов, бесплатный инструмент, который подробно показывает, какие процессы запущены, добавляет в командную строку и рабочие столбцы, а также любую другую полезную информацию и упорядочивает по ЦП или памяти и ищет вредоносные процессы, затем вы можете увидеть, где он установлен, и попытаться удалить эту папку / исполняемый файл, возможно, вам придется запустить в безопасном режиме, чтобы сделать это. Удачи, удивительно, как много сегодняшних целевых вирусных пользователей используют веб-страницу «У вас есть вирус», которая убаюкивает вас установить программу для ее удаления, но вместо этого устанавливает. вирус.
Huw3481
HD IT Solutions — поставщик ИТ-услуг.
Купите компакт-диск Linux с антивирусом. Затем вы можете загрузиться с него и обойти Windows.
Ник-C
Veetle в порядке. У меня было это на моем старом ПК, это просто приложение для потоковой передачи мультимедиа, я использовал его для потоковой передачи потерянных эпизодов, когда они транслировались в США или Канаде. У меня никогда не было вирусов или каких-либо других эффектов от его установки. .
Получите бесплатную утилиту под названием Hijack this, которая сообщит вам, что происходит и откуда, по всей видимости, происходит заражение
_Брайан_
Некоторое время назад я сделал это руководство, оно может помочь.
Однако, как упоминалось выше, аварийный компакт-диск AVG (на USB-накопителе) удобен тем, что он является загрузочным и обновляемым, так что он также может быть вам полезен.
Алекс3031
Используйте обозреватель процессов, чтобы увидеть, какие процессы запущены и потребляют ресурсы. Описываемое вами поведение больше похоже на возможную проблему с оборудованием или, в лучшем случае, на проблему с ОС. Такое поведение может возникнуть, если ОЗУ неисправно, графический процессор или ОЗУ неисправны, на жестком диске имеются физически поврежденные сектора или повреждены данные, проблемы с материнской платой и даже неисправность источника питания. Я бы предложил сканирование диска с восстановлением поврежденных секторов, используя обозреватель процессов и пытаясь заменить такие вещи, как ОЗУ, видеокарта и т. Д., Посмотрите, устранена ли ваша проблема. Вы также можете просмотреть системные журналы для получения информации. Если в вашем BIOS есть тесты, которые можно запустить, сделайте это. Вы можете протестировать оперативную память с помощью memtest, записать live CD. Как и другие, попробуйте просканировать диск на наличие вирусов и т. д. из живого дистрибутива, будь то Linux или BARTPE.
Сегодняшнее антивирусное программное обеспечение довольно сложное, но вирусописатели часто на шаг опережают программное обеспечение, и постоянно выпускаются новые вирусы, которые современные антивирусные программы не могут распознать. Ключом к антивирусному программному обеспечению является обнаружение. После обнаружения зараженного файла иногда его можно восстановить. Если нет, файл можно по крайней мере поместить в карантин, чтобы вирусный код не выполнялся. Трудность здесь заключается в том, что стандартное обнаружение вирусов неадекватно для текущих и новых вирусов, поэтому антивирусное программное обеспечение должно постоянно обновляться новыми списками вирусов. В настоящее время при обнаружении нового вируса (к сожалению, только при выполнении) образцы отправляются в центры вирусного анализа. Эти центры анализируют вирус и извлекают из вируса уникальную строку, которая идентифицирует его.Эта и другая информация о вирусе добавляется в базу данных, которую пользователи могут затем загрузить. Однако, если общее обнаружение вирусов когда-либо станет эффективным на 100 %, другие шаги (удаление/восстановление) должны быть значительно упрощены.
Методы обнаружения вирусов Вверх
Сегодня используются четыре основных метода обнаружения вирусов: сканирование, проверка целостности, перехват и эвристическое обнаружение. Из них сканирование и перехват очень распространены, а два других распространены только в менее широко используемых антивирусных пакетах. К сожалению, хотя сканирование очень эффективно против известных вирусов, оно совершенно неспособно бороться с новыми вирусами, что вынуждает центры антивирусного анализа занимать реактивную позицию.
Сканирование
Определение. Сканер ищет во всех файлах в памяти, в загрузочном секторе (секторе на диске, где находится загрузочная информация) и на диске фрагменты кода, которые однозначно идентифицирует файл как вирус. Очевидно, для этого требуется список уникальных сигнатур, которые будут обнаружены в вирусах, а не в безобидных программах. Для предотвращения ложных срабатываний большинство сканеров также проверяют код подозрительного файла либо на код самого вируса, либо на его контрольную сумму. (Контрольная сумма — это метод, который часто используется для определения того, были ли данные изменены, и включает в себя суммирование всех битов в файле.) Это наиболее распространенный доступный метод обнаружения вирусов, который реализован во всех основных пакетах антивирусного программного обеспечения. . Существует два типа сканирования: при доступе и по требованию. Сканирование при доступе сканирует файлы, когда они загружаются в память перед выполнением. Сканирование по требованию сканирует всю оперативную память, загрузочный сектор, а также дисковую память и запускается пользователем по его желанию. Сканирование при доступе в последнее время стало более агрессивным: сканирование на вирусы происходит, даже если файлы выбраны, но не загружены.
Преимущества. Сканеры могут находить вирусы, которые еще не запущены. Это очень важно для червей электронной почты, которые могут быстро распространяться, если их не остановить. Кроме того, с доступным сегодня программным обеспечением ложные срабатывания стали крайне редкими. Наконец, сканеры также очень хорошо обнаруживают вирусы, для которых у них есть сигнатуры.
Недостатки. Методы сканирования имеют два основных недостатка. Во-первых, если программное обеспечение использует строку сигнатуры для обнаружения вируса, все, что может сделать вирусописатель, — это изменить строку сигнатуры для разработки нового вируса. Это наблюдается у полиморфных вирусов. Вторым и гораздо большим недостатком является ограничение, заключающееся в том, что сканер может сканировать только то, что имеет сигнатуру. Вирус мальтийской амебы был очень разрушительным вирусом, который активировался 11 ноября 1991 года и мог быстро распространяться до своей активации, не будучи обнаруженным. Согласно Virus Bulletin за 1991 год: «До 2 ноября 1991 года ни один коммерческий или условно-бесплатный сканер (копии которого есть у VB) не обнаруживал вирус Maltese Amoeba. Тесты показали, что НИ ОДИН из основных используемых коммерческих сканеров не обнаружил этот вирус. " Хотя обновления вирусов сегодня происходят чаще из-за Интернета, вирусы по-прежнему не могут быть обнаружены до тех пор, пока один из них не будет запущен.
Проверка целостности
Определение. Средство проверки целостности записывает информацию о целостности важных файлов на диске, обычно путем подсчета контрольной суммы. Если файл изменится из-за вирусной активности или повреждения, файл больше не будет соответствовать записанной информации о целостности. Пользователю предлагается, и обычно ему может быть предоставлена возможность восстановить файл в его предповрежденное / зараженное состояние. Это сложный процесс, и сегодня его используют немногие антивирусные программы. Norman Virus Control, однако, является одним из них.
Преимущества. Проверка целостности — единственный способ определить, не повредил ли файл вирус, и он достаточно надежный. Большинство сегодняшних средств проверки целостности также могут обнаруживать другие повреждения данных, такие как повреждение, и также могут восстанавливать их.
Недостатки. Основная проблема с проверкой целостности заключается в том, что недостаточно компаний предлагают комплексное программное обеспечение для проверки целостности. Большинство антивирусных пакетов, которые его предлагают, недостаточно защищают файлы, а те, которые они защищают, могут вообще не повреждаться новыми вирусами. Более простые средства проверки целостности не смогут отличить ущерб, нанесенный повреждением, от ущерба, нанесенного вирусом, что дает пользователю нечеткую информацию о том, что происходит. Наконец, этот процесс просто довольно громоздкий — на современных компьютерах многие важные файлы изменяются всего лишь при загрузке и выключении, поэтому для максимальной эффективности обнаружения вирусов средства проверки целостности необходимо использовать вместе со сканерами.
Эвристическая проверка на вирусы
Определение: Это общий метод обнаружения вирусов. Производители антивирусного программного обеспечения разрабатывают набор правил, позволяющих отличить вирусы от невирусов. Если программа или сегмент кода соответствуют этим правилам, они помечаются как вирусы и с ними обращаются соответствующим образом.Это позволяет обнаруживать любой вирус, и теоретически должно быть достаточно для борьбы с любыми новыми вирусными атаками. Вирусное программное обеспечение F-secure использует этот метод в дополнение к сканированию, хотя не так много программных пакетов, доступных сегодня, используют эвристический поиск вирусов.
Преимущества: Универсальная защита от вирусов сделает все другие антивирусные сканеры устаревшими, и ее будет достаточно, чтобы остановить любой вирус. Пользователю больше не нужно загружать еженедельные обновления вирусов, потому что программное обеспечение может обнаруживать все вирусы.
Недостатки: Несмотря на огромные преимущества эвристической проверки на вирусы, сегодняшней технологии недостаточно. Вирусописатели могут легко создавать вирусы, которые не подчиняются правилам, что делает текущий набор правил обнаружения вирусов устаревшим. Изменения в эти правила должны быть загружены, и, следовательно, эти антивирусные программы должны быть обновлены и не будут останавливать многие новые вирусы, что дает им характеристики, аналогичные сканерам. Кроме того, вероятность ложных срабатываний и невозможности обнаружения известного вируса выше при использовании эвристических средств проверки, чем при использовании сканеров.
Перехват
Определение: Программное обеспечение для перехвата обнаруживает вирусоподобное поведение и предупреждает пользователя об этом. Как обнаружить вирусоподобное поведение? Снова используйте эвристику. Многие вирусы будут выполнять некоторые подозрительные действия, например перемещаться в памяти и устанавливать себя как резидентные программы. Многие программные пакеты имеют эту опцию, хотя большинство людей обычно отключают ее.
Преимущества: Перехват — хороший общий метод для остановки логических бомб и троянских коней. Логические бомбы запускают (обычно деструктивную) последовательность действий при наступлении события, например, при установке даты на определенную дату. Программное обеспечение для перехвата, если оно не обнаружено сканерами, обычно обнаруживает разрушительные и необычные последовательности событий, вызванные логическими бомбами и троянскими программами.
Недостатки: К сожалению, перехватчики не очень хорошо обнаруживают что-либо еще. У перехватчиков также есть все недостатки эвристических систем — сложность отличить вирус от невируса и простота программирования. Кроме того, большинство перехватчиков очень легко отключить, поэтому многие вирусы часто отключают их перед запуском. Из-за характера перехватчика это программное обеспечение не может обнаруживать вирусы до их запуска, и уже может быть нанесен большой ущерб. Наконец, перехватчики доставляют неудобства и часто предлагают пользователю разрешить/запретить действия во время установки программного обеспечения и обновления системы, что делает описанное выше очень утомительным. В сочетании с их ограниченной полезностью большинство программных пакетов отключают или сильно ограничивают перехват по умолчанию.
Предстоящие улучшения в программном обеспечении Top
Symantec недавно выпустила нечто под названием «Цифровая иммунная система» вместе с Norton AntiVirus Corporate Edition. Эта система, доступная в настоящее время только для корпораций, автоматизирует большую часть процесса обнаружения вирусов/вакцин. Образец автоматически загружается в центр анализа, когда система обнаруживает вирусоподобную активность. Если вирус соответствует известному вирусу, то на зараженный компьютер загружается вакцина, и программа очищает ее. Если это новый вирус, образец отправляется аналитикам для разработки вакцины. Это значительно сокращает время, необходимое для удаления вируса с компьютера, что значительно снижает способность вируса заражать другие компьютеры. К сожалению, вирусная активность выявляется с помощью эвристики, которая, как было сказано выше, не совсем точна. Network Associates имеет аналогичный процесс в своем программном обеспечении VirusScan. К сожалению, других улучшений антивирусного программного обеспечения не предвидится, и улучшения в этой области полностью зависят от улучшенного ИИ для обнаружения вирусов.
Способы победить антивирусное программное обеспечение Top
Поскольку одни и те же методы антивирусного программного обеспечения используются во всем мире, вирусописатели пытались победить программное обеспечение в своих вирусах, либо отключив программное обеспечение, либо получив вокруг алгоритмов обнаружения. В этом разделе кратко рассматриваются методы, которые вирусописатели используют для обхода программного обеспечения, и насколько они эффективны при этом.
Полиморфные вирусы пытаются нейтрализовать методы поиска вирусов, изменяя код каждый раз, когда вирус заражает новый компьютер. Даже если сигнатура вируса останется неизменной, контрольная сумма вируса останется неизменной, гарантируя, что антивирусное программное обеспечение не обнаружит ее. Однако все современные вирусы, использующие такую технику, довольно неэффективны, потому что генерируемый код слишком похож на исходный вирус. «Наборы инструментов» были разработаны вирусописателями (некоторые с превосходным пользовательским интерфейсом и даже файлами справки) для создания полиморфных вирусов, но даже в этом случае сходство между вирусами, созданными этими наборами инструментов, позволяет антивирусному программному обеспечению легко обнаруживать вирус. .Тем не менее существует вероятность того, что будет разработан полиморфный вирус, способный уклоняться от антивирусных сканеров; такой вирус было бы чрезвычайно трудно сдержать.
Туннельные вирусы пытаются обойти антивирусное программное обеспечение, загружая себя под сканер, ближе к оборудованию. Такие вирусы стремятся получить доступ к обработчикам прерываний и, таким образом, получить прямой доступ к операционной системе. Большинство антивирусных программ могут обнаружить это. При обнаружении антивирусное программное обеспечение устанавливается под вирусом. Затем более умные вирусы пытаются установить себя под антивирусным программным обеспечением, что приводит к битве за обработчики прерываний и системным проблемам, поскольку никому не разрешен доступ к обработчикам прерываний.
Вирусы-невидимки полагаются на загрузку перед антивирусным программным обеспечением, что может произойти, если вирус заразит загрузочный сектор или системный файл, который загружается до антивирусного программного обеспечения. Затем эти вирусы маскируют вносимые ими изменения и, таким образом, обходят любые схемы обнаружения вирусов. Очистить такие вирусы не так уж и сложно - загрузка с чистой дискеты предотвратит загрузку вируса в память, и тогда сканер сможет его очистить.
Быстро заражающие вирусы работают так же, как и вирусы-невидимки: для заражения компьютеров они полагаются на невидимость для сканера вирусов. Эти вирусы обычно используют антивирусные сканеры и заражают файлы всякий раз, когда к ним обращаются. Если вирус не будет обнаружен до того, как антивирусный сканер начнет сканирование файлов, вирус быстро заразит каждый файл на диске. Благодаря сканированию при доступе этот тип вирусов будет распространяться даже без сканирования по требованию. Однако вирусу все еще нужно заразить свой первый файл, и большинство сканеров блокируют вирус, прежде чем он сможет зафиксироваться на сканере вирусов.
Другие методы. Многие разрабатываемые сегодня вирусы используют комбинацию вышеперечисленных методов и добавляют еще несколько собственных. Например, червь MTX загружается в память раньше, чем антивирусное программное обеспечение, и препятствует его правильной работе. Кроме того, вирус использует набирающую популярность технику — блокировку доступа к сайтам производителей антивирусов. Вирус MTX блокирует доступ к Symantec, McAfee и нескольким другим компаниям, которые предоставляют обновления сканера вирусов, чтобы пользователь не мог получить обновление. Другие вирусы будут атаковать программное обеспечение более непосредственно, повреждая библиотеки или файлы кода, которые необходимы антивирусному сканеру для правильной работы. Наконец, многие вирусы загружают обновления и подключаемые модули, что позволяет разработчикам вирусов быть на шаг впереди авторов антивирусных программ.
Восстановление и удаление вирусов В начало
Как антивирусные программы могут устранить ущерб, нанесенный вирусом, после обнаружения вируса? Антивирусные программы довольно плохо восстанавливают данные — вирусы, пытающиеся повредить файлы, а не просто заразить их, преуспеют, если эти файлы не были скопированы. Сканеры вирусов восстанавливают файлы, удаляя код вируса из файла, что в большинстве случаев восстанавливает файл до состояния, предшествующего заражению. Однако для вирусов, которые повреждают системные файлы (например, вирусы, которые блокируют доступ к поставщикам антивирусного программного обеспечения, непоправимо изменяют сетевую библиотеку), антивирусная программа не в состоянии устранить все повреждения. Единственный надежный способ восстановить ущерб, нанесенный вирусом, — очистить все зараженные файлы и восстановить все остальное из резервных копий.
Проблемы с антивирусным программным обеспечением Top
Антивирусное программное обеспечение страдает от большего количества проблем, чем неспособность обнаруживать современные вирусы. Многие копии антивирусного программного обеспечения не способны обнаруживать даже старые вирусы, потому что конечные пользователи часто забывают или просто не обновляют вирусные базы своего антивирусного сканера, пока не становится слишком поздно. Сканирование по запросу выполняется редко, потому что оно медленное и потребляет ресурсы во время работы, поэтому бездействующие вирусы, как правило, живут довольно долго. Сканеры при доступе также не лишены проблем — некоторые из них потребляют слишком много ресурсов, поэтому у многих пользователей возникает соблазн отключить их, если они работают на более медленной машине.
Наконец, несмотря на то, что антивирусное программное обеспечение может стать чрезвычайно эффективным в обнаружении вирусной активности, всегда есть новые дыры в безопасности, которые можно использовать в операционной системе и сетевом программном обеспечении, которые дадут вирусам еще одну точку входа, обходящую антивирусное программное обеспечение. Обнаружение уязвимости в системе безопасности и сообщение о ней на одном из таких сайтов считается честью среди вирусописателей. Примером одного из таких сайтов является SANS, на котором публикуются бюллетени о хакерских и вирусных атаках.
Вывод? Антивирусное программное обеспечение, используемое сегодня, довольно эффективно, но только в том случае, если оно постоянно обновляется и пользователь принимает меры предосторожности (например, не открывает незнакомые документы или программы). Несмотря на все это, антивирусное программное обеспечение не может защитить от совершенно новых вирусов, и пользователи принимают необходимые меры предосторожности.Был проведен опрос пользователей корпоративных компьютеров, который показал, что многие пользователи все еще заражаются, даже если от них требуется соблюдать все необходимые меры предосторожности. (Источник: Обзор распространенности компьютерных вирусов, проведенный ICSA Labs в 2000 г.) Поскольку Интернет с каждым днем становится все больше, маловероятно, что антивирусное программное обеспечение сможет защитить всех подключенных пользователей; однако при надлежащем уходе и внимании люди смогут справиться со всеми вирусами, кроме самых необычных.
Рутрелл Ясин, Управление и безопасность: Вирусы помещаются в карантин. , InternetWeek, 17 мая 1999 г., стр. 25.
Читайте также: